세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
산업 시스템 노리는 멀웨어 분석해주는 무료 툴 공개
  |  입력 : 2017-07-28 16:49
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
ESET의 전문가 둘, 안전하게 산업 멀웨어 분석해주는 툴 배포
사이버전 심화된다는 건 산업 시스템 위험하다는 것


[보안뉴스 문가용 기자] 지난 2016년 우크라이나 키에브 지역에서 한 시간 정도의 정전 사태를 일으킨 건 전력망을 침투한 멀웨어였다. 그런데 그 툴이 블랙햇을 통해 공개됐다. 그리고 청중들이 지켜보는 가운데 악성 코드가 낱낱이 공개됐다.

[이미지 = iclickart]


실제 사건 현장에서 이 멀웨어를 발견하고 블랙햇에 들고 온 건 바로 보안 업체 ESET의 전문가 로버트 리포프스키(Robert Lipovsky)와 안톤 체레파노프(Anton Cherepanov)였다. 그리고 주인공 멀웨어의 이름은 크래시오버라이드/인더스트로이어(CrashOverride/Industroyer)다. 이 멀웨어는 하벡스(Havex)라는 원격 접근 툴과 함께 사용된다고 ESET의 전문가들은 소개했다. 하벡스가 정찰을 하고 크래시오버라이드/인더스트로이어가 파괴 행위를 하는 식이다.

그런데 이 멀웨어의 샘플은 조심히 다뤄야 한다. 자칫 잘못하면 실험과 분석을 하는 시스템의 데이터를 지울 수 있기 때문이다. 그래서 이 두 전문가는 IDAPython 스크립트를 하나 작성해 보안 전문가들이 바이너리를 안전하게 리버스엔지니어링 하도록 했다고 한다. 이 스크립트는 깃허브를 통해 공유되고 있는데, 여기를 누르면 연결된다.

이처럼 산업 시설, 특히 ICS/SCADA를 대규모로 노린 멀웨어가 대중에게 공개된 것은 이번이 네 번째다. 첫 번째는 스턱스넷(Stuxnet), 두 번째는 하벡스(Havex), 세 번째는 블랙에너지(BlackEnergy)였다. “위 스크립트를 능숙하게 다룰 수 있다면 앞으로 나타나는 산업용 멀웨어를 찾아내고 분석하기가 훨씬 쉬워질 것입니다.”

“이 툴은 멀웨어가 가진 근본적인 목적을 이해하는 데 도움을 주도록 만들어졌습니다. 멀웨어를 탐지하고 무력화시키는 것도 물론 중요한 일이지만 공격자들이 노린 것이 무엇인지 더 자세히 이해할 수 있게 된다면, 생각지도 못한 다른 위협이나 또 다른 위험거리들을 찾아낼 수도 있습니다. 더 시야를 넓게 해주는 것이죠.”

산업 시설의 보안을 전문으로 하는 사이버엑스(CyberX)의 부회장 필 너레이(Phi Neray)는 이 무료 툴을 보고 극찬을 아끼지 않았다. “ESET의 리버스 엔지니어링 툴은 보안 분석가라면 반드시 가지고 있어야 할 것이라고 봅니다. 현재 ICS 시스템에 대한 지식이 부족하여 방어가 어려워지고 있는 게 현실이거든요. 이 툴은 멀웨어가 정찰용인지, 파괴용인지도 알려주기 때문에 여러 수사나 분석 과정을 단축시켜주는 효과도 가지고 있습니다.”

너레이는 “인더스트로이어/크래시오버라이드는 모듈로 구성되어 있다”며 “그러므로 다양한 산업과 조직에 따라 알맞게 변형되어 공격을 가할 수 있다”고 설명한다. 또 “정찰용 포트 스캐너와 공격 모듈을 따로 가지고 있기도 하다”고 자신들의 분석 결과를 풀어놨다.

리포프스키와 체레파노프는 “이 멀웨어는 너무나 정교하게 만들어진 것으로, 상당한 실력자가 배후에 있는 것이 분명하다”고 주장한다. 하지만 그 배후 세력으로 짐작되는 나라나 단체에 대해서는 아무런 말도 하지 않았다. 하지만 현재 우크라이나를 무차별적으로 공격할 동기를 가진 것이 러시아밖에 없기 때문에 업계 전문가들은 러시아를 잠정적으로 지목하고 있다.

리포프스키는 “사이버전이 늘어나고 있다는 건 ICS/SCADA 시스템에 대한 위기가 늘어난다는 것”이라며 “미리미리 준비를 해놔야 한다”고 주장한다. “하지만 많은 사람들이 산업 시설에서부터 멀리 떨어진 곳에서 생활하고 있고, 그렇기에 산업 시설에 닥친 위험들에 대해 아무런 인지도 못하고 있는 게 현실입니다. 아직 이 멀웨어들을 탐지해낼 수 있을 때 미리미리 대비해놓는 것이 현명한 처사일 겁니다.”

이번에 ESET이 무료로 공개한 툴의 목적은 이런 사이버 스파이를 완전히 잡는 것이라기보다 더 깊은 곳으로 침투하지 못하도록 하는 것이라고 체레파노프는 설명했다. “대규모 공격이 실제 일어나기 전에는 분명히 정찰 행위와 같은 일들이 선행됩니다. 보통 ‘정찰용’ 혹은 ‘정보 수집용’ 멀웨어라고 하면 얕보고 ‘별다른 피해가 없었다’고 결론을 내리는데, 그건 뒤에 오는 일들을 전혀 못 보기 때문에 하는 생각입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
애플이 아이폰X에 얼굴인식 방식인 페이스ID를 새롭게 도입한다고 해서 관심이 모아지고 있습니다. 이를 계기로 스마트폰에 탑재되는 생체인식기술 간 보안성 및 편리성 대결도 벌어지고 있는데요. 이를 모두 고려할 때 스마트폰에 탑재되는데 있어 가장 효과적인 생체인식기술은 무엇이라고 보시나요?
지문인식
홍채인식
얼굴인식
화자인식(목소리로 누구인지 식별)
다중인식(지문+홍채, 지문+얼굴 등)
기타(댓글로)